¿Por qué Pepe no puede leer una política de privacidad? Pues porque las políticas de privacidad no las escriben para que las lea Pepe. Se escriben para que las lean los burócratas y los abogados. O bueno, con más justicia, se escriben para Pepe, al modo en que los burócratas y abogados piensan que hay que escribirlas.
Hoy en día, las políticas de privacidad se escriben para que hagan dos cosas contradictorias. Como la mayoría de cosas en la vida, si intentas hacer dos cosas contradictorias al mismo tiempo acabas no haciendo ninguna bien. He aquí la contradicción: ¿Debería una política de privacidad ser un aviso corto, simple y legible, que pudiera comprender el usuario final? ¿O debería ser un documento declarativo largo, detallado y legalista escrito por los burócratas? Puesto que los usuarios promedio y los burócratas expertos tienen diferentes expectativas de lo que debería declararse, las políticas de privacidad al uso hoy en día insatisface en gran medida a ambos grupos.
Por una parte, las políticas de privacidad deben ser documentos declarativos para el usuario final promedio. En otras palabras, las políticas de privacidad deben ser avisos simples y legibles empleados por cualquier entidad que trate datos personales, para explicar a sus usuarios básicos cuáles son los datos que recopilan; cómo utilizan esos datos; si transfieren esos datos a terceros, etc. Además, las políticas de privacidad son los principales mecanismos con los que las entidades obtienen el consentimiento de los usuarios finales para tratar sus datos, si bien ese consentimiento a menudo sea tácito.
Por otra parte, las agencias de control en el mundo entero, con buena intención, reclaman continuamente unas políticas más y más largas (no en esas palabras, por supuesto), al exigir que se detallen los puntos X, Y y Z. El hecho de que a Pepe le traigan sin cuidado los puntos X, Y y Z, es irrelevante. Las empresas tienen que detallar los puntos X, Y y Z o se arriesgan a multas de la Agencia de control. Pepe seguramente no podría entender los puntos X, Y y Z, de todas maneras; y X, Y y Z seguramente son términos especializados de la jerga legal de privacidad. HIPPA es un ejemplo notorio de avisos de privacidad legalmente obligatorios que Pepe no es capaz de leer.
Ha llegado el momento de hacer una reflexión global sobre cómo debería ser una política de privacidad. Hoy en día no hay consenso. No me refiero a consenso entre los burócratas y los abogados. Mi sugerencia es que se comience por hacer un estudio serio de los usuarios, y que sí que se pregunte a Pepe y a Juan y a Pascual.
o0o
No hay comentarios:
Publicar un comentario